Stiamo cercando di mitigare BEAST (e simili) sul nostro appliance Cisco ACE (versione A4 (2.0)), che è l'endpoint per una manciata di servizi bilanciati. Alcuni di questi servizi funzionano ancora con certificati firmati SHA1 (sebbene stiamo lavorando per far testare i nostri clienti con certificati firmati SHA2).
L'ACE ci consente di creare un parameter-map
per dare priorità alle cifre supportate (la priorità 10 è la più preferita e 1 è la meno preferita), ma non sono pienamente consapevole delle complessità di ogni suite di crittografia .
La seguente attenuazione sarebbe ragionevole (essenzialmente dando priorità alle cifre basate su CBC, in modo da preferire i cifrari non CBC)? Ci sono in questa lista che non dovrei accettare? Cerchiamo ovviamente di essere ancora compatibili quanto ragionevolmente possibile.
Si noti che non stiamo provando in modo specifico a soddisfare la conformità PCI, ma stiamo solo tentando di "fare la cosa giusta" (sebbene se qualcuno dei seguenti punti violi tali, sarebbe utile sapere se si presentasse in il futuro)
parameter-map type ssl PMAP_SSL_CIPHERS
cipher RSA_WITH_RC4_128_SHA priority 6
cipher RSA_WITH_RC4_128_MD5 priority 6
cipher RSA_EXPORT1024_WITH_RC4_56_SHA priority 6
cipher RSA_EXPORT1024_WITH_RC4_56_MD5 priority 6
cipher RSA_EXPORT_WITH_RC4_40_MD5 priority 6
cipher RSA_WITH_AES_256_CBC_SHA priority 2
cipher RSA_WITH_AES_128_CBC_SHA priority 2
cipher RSA_WITH_3DES_EDE_CBC_SHA priority 2
cipher RSA_WITH_DES_CBC_SHA priority 2
cipher RSA_EXPORT1024_WITH_DES_CBC_SHA priority 2
cipher RSA_EXPORT_WITH_DES40_CBC_SHA priority 2